4 risques majeurs liés au passage au cloud et comment les gérer

La migration vers un service de cloud managé est peut-être la transformation la plus importante qu'une entreprise ait à effectuer. Et comme tout grand projet, elle s'accompagne de risques !

La migration vers un service de cloud managé est peut-être la transformation la plus importante qu'une entreprise ait à effectuer. Selon Markess by Exaegis, le marché français du cloud devrait atteindre 27 milliards d'euros d'ici 2025. Les services d'infrastructure et de sécurité sont les deux segments les plus dynamiques. Comme tout grand projet, la transformation numérique s'accompagne de risques. Voici quatre d’entre eux parmi les plus critiques pour une organisation, et quelques réflexions sur la façon de les atténuer, de les gérer et de les contrôler.

1. Charges de travail critiques et temps d'arrêt

De nombreuses entreprises choisissent une infrastructure sur site parce qu'elle offre plus de contrôle, notamment en cas de panne. Elles font confiance à leur personnel pour s'en occuper. C'est pourquoi elles considèrent le cloud managé comme risqué. Cependant, cette tendance tend à disparaître en France comme un peu partout dans le monde, notamment en raison de la complexité et de la charge croissante liées à l’application des standards de sécurité, mais aussi en raison du manque de personnel qualifié. Depuis dix ans, le cloud, qui était considéré comme une option pour gérer son infrastructure, est devenu la solution par défaut. Selon Hub One, 73% des entreprises avec un chiffre d'affaires supérieur à 500 millions d'euros ont déjà investi dans des solutions hébergées dans le cloud, et 40% des TPE et PME.

Avant d'envisager une transformation, il est important d'examiner les chiffres en considérant des paramètres tels que le temps d'arrêt acceptable pour le service fourni ou lorsque le nombre d'utilisateurs diminue. Ces données permettent de se faire une idée précise du temps nécessaire pour mener à bien l'opération, tout en trouvant un moyen de maintenir le temps de disponibilité à des niveaux tolérables pendant le processus.

Aucun service cloud n'offre un temps de disponibilité de 100%. Même les meilleurs fournisseurs connaissent des pannes... mais ce n'est plus à l'entreprise de les réparer. Ce transfert de responsabilité est défini dans le SLA (service level agreement). Ainsi, lorsque la disponibilité du service n'est pas conforme aux accords, le fournisseur en absorbe les conséquences financières. Cependant, l'entreprise reste victime de l'impact négatif sur sa réputation. C'est pourquoi le choix du fournisseur est important.

Il est important de noter qu'un SLA ne signifie pas que toute la responsabilité repose sur les épaules du fournisseur. L'entreprise doit configurer sa propre application afin qu'elle utilise les ressources du fournisseur de manière raisonnable et durable.

Enfin, une telle opération est aussi l'occasion de mettre à jour les plans de reprise après sinistre pour refléter la nouvelle réalité. Et les exemples ne manquent pas pour prouver que ceux-ci ne sont pas toujours optimisés.

2. Risques contractuels et juridiques

Un fournisseur d'infrastructure cloud offre un service plus ou moins standardisé qui peut inclure divers éléments personnalisables ou conçus à cet effet. Cette standardisation leur permet de réaliser des économies d'échelle et de donner à leurs clients une vision prévisible et transparente de leurs dépenses. Selon un rapport IDC d'août 2021, le coût d'exploitation sur trois ans peut être réduit de 37%. Cette possibilité d’optimiser les coûts via la standardisation explique pourquoi les contrats sont eux aussi standardisés, et méritent donc d'être examinés avec cette considération.

Lors de l'examen du contrat, la juridiction applicable pour le règlement des litiges est cruciale. Car si les services sont mondiaux, les contrats le sont beaucoup moins !

Le stockage des données dans le cloud soulève une énigme juridique intéressante. Les données sont soumises aux lois locales du pays où elles sont physiquement stockées. Cependant, les processeurs et les contrôleurs de données opèrent selon les lois du pays où ils les reçoivent. Par conséquent, il peut y avoir des incohérences entre ces deux législations. En Europe, les institutions travaillent sur ces questions. On peut notamment citer le GDPR qui définit les règles en matière de protection des données personnelles et plus récemment, l’adoption du Data Act qui devrait entrer en vigueur dans les prochains mois.

Quel que soit le cas particulier, il est essentiel de bien comprendre les implications. En outre, étant donné que la plupart des lois ont été rédigées à une époque pré-Internet (sans parler des fournisseurs d'infrastructures de données managées), il est probable que le cadre juridique soit mis à jour dans les années à venir.

3. Données sensibles et sécurité du cloud

Maintenir la sécurité, la confidentialité et la disponibilité des données est un défi majeur, et les risques associés sont importants. Il est en effet difficile de contrôler ce qui arrive aux données lorsqu'elles transitent par les fournisseurs de clouds publics.

Le fait est que les violations de données sont moins fréquentes dans le cloud public que dans le cloud privé ou les environnements sur site. Les clouds publics sont gérés par des entreprises spécialisées disposant d'armées d'experts qui ont le savoir-faire, la meilleure formation et les derniers outils pour assurer la sécurité des données. En outre, ils disposent des certifications appropriées pour réduire le risque d'erreur humaine.

S'il est correctement configuré, il est plus sûr de partager des données via un cloud qu’en utilisant un support physique tel qu'une clé USB.

Cela dit, l'utilisateur d'un service de base de données reposant sur le cloud public doit impérativement prêter attention à la sécurité lorsqu'il choisit un fournisseur, et s'assurer que les données sont traitées et stockées conformément à la loi. Le responsable du traitement des données, c'est-à-dire l'utilisateur, est toujours tenu responsable de toute violation éventuelle, sans parler des conséquences de la publicité négative qui peut y être associée.

Il est aussi important de considérer les offres packagées des fournisseurs en termes de plan de sauvegarde des données. Une simple sauvegarde des données localisée sur la même région que le service de données lui-même ne suffit plus aux politiques de récupération après incident. On peut citer le déport de la sauvegarde sur une autre région ou un autre cloud, des configurations active-active multi-cloud et des durées de sauvegarde prolongées comme les nouveaux standards dans ce domaine.

4. Garder le contrôle de ses propres données

Passer d'une solution sur site à un cloud public peut donner l'impression de confier ses données au fournisseur de services de bases de données. C’est une réaction instinctive à laquelle il faut absolument prêter attention car personne ne souhaite perdre le contrôle de ses données.

Malheureusement, par négligence, on risque de se retrouver dans une situation de verrouillage. C'est le cas lorsque les données sont dans un système propriétaire et stockées dans un format qui ne permet pas l'exportation ou l'accès en cas de changement de fournisseur.

Il est essentiel de s'assurer que les données et les charges de travail peuvent toujours être exportées et transférées à un autre fournisseur, sans rupture de service le cas échéant. Le meilleur moyen est d'utiliser des logiciels libres et des fournisseurs dont les systèmes sont compatibles avec ces solutions dans un environnement multi-cloud. En France, une circulaire du Premier ministre recommande aux administrations l’utilisation de logiciels libres depuis 2012. Et l'offre étant suffisamment large, elle permet de couvrir tous les besoins.

Lors de la planification d'une migration d'un système sur site vers un service de cloud managé, il n'est pas rare de rencontrer les problèmes évoqués ci-dessus. Souvent, les réponses sont celles qui auraient déjà dû être envisagées. Au-delà des projets ambitieux, cela invite les entreprises à mettre de l'ordre dans leur maison, quitte à louer un espace de stockage pour y déposer une partie de leur données internes, de préférence de manière organisée !